5 декабря в Сенате прошла встреча по вопросам реализации Концепции кибербезопасности «Киберщит Казахстана». На ней вице-министр оборонной и аэрокосмической промышленности РК Тимур Шаймергенов сообщил, что уровень осведомленности госаппарата на предмет кибератак низкий. Это было выявлено в рамках учений по кибербезопасности: казахстанским чиновникам разослали фишинговые письма с ложной информацией о повышении зарплат. Почти 6 тысяч писем были открыты. Рассылку таких писем используют хакеры и киберпреступники, чтобы получить доступ к персональным данным, карточным счетам и другой конфиденциальной информации.

Также на встрече выступил начальник департамента КНБ РК Сергей Журавлев. В 2017 году на EXPO его подразделение отвечало за информационную безопасность: они обучали госслужащих кибербезопасности и проводили для них курсы. «За три дня до начала EXPO мы устроили фишинговую атаку. Всем мужчинам направили предложение по дисконту на бензин, женщинам — по дисконту на косметику. Через полчаса вся инфраструктура EXPO была в моем полном распоряжении, и я мог делать что угодно и как угодно», — сообщил Сергей Журавлев.

Что должен знать каждый казахстанец о кибербезопасности? Поговорили с управляющим директором «Лаборатории Касперского» в Центральной Азии и Монголии Евгением Питолиным о том, в какую сумму компаниям обходятся киберинциденты, как защититься от кибератак, кто отправляет наши данные посторонним компаниям и что ищут дети в интернете.

Текст

Асем Ермухамедова

Иллюстрации

Катерина Комякова

О киберпреступлениях и их жертвах

В эволюции угроз есть две ключевые тенденции: во-первых, злоумышленники уже давно перешли от количества к качеству и новизне вредоносного ПО и атак; во-вторых, Казахстан все больше становится интересной страной для киберпреступников всех мастей.

Майнеры криптовалют вытесняют программы-вымогатели. По нашим данным, в 2017–2018 годах общее количество пользователей в мире, столкнувшихся с троянцами-вымогателями, уменьшилось почти на 30 %, зато количество пользователей, столкнувшихся со зловредами-майнерами (Прим. ред. — вредоносная программа) выросло почти на 44 %.

По итогам первого полугодия 2018 года, Казахстан находится на третьем месте в топ-10 стран по доле пользователей, атакованных мобильными троянцами-вымогателями, на четвертом месте по подвергшимся атаке майнеров, и занимает десятое место в топе стран, где жители подверглись наибольшему риску заражения через интернет. Также Казахстан на 13-м месте в топ-20 государств по проценту атакованных компьютеров АСУ ТП (Прим. ред. — автоматизированная система управления технологическим процессом) — промышленных и производственных ПК. В целом страны Азии, включая Казахстан, гораздо менее благополучны в сфере кибербезопасности компьютеров АСУ, чем страны Европы, Северной Америки и Австралии.

Лучше всего использовать VPN, чтобы зашифровать передачу данных и защитить их от посторонних глаз

Говоря о жертвах и атаках, стоит упомянуть, в какую сумму компаниям обходятся киберинциденты. По нашим данным, больше всего средств в результате подобных случаев компании тратят на обновление защитных систем и IT-инфраструктуры: большим корпорациям это может обойтись в 190 тысяч долларов. Также организации терпят репутационный ущерб, приводящий к снижению кредитных рейтингов, росту страховых тарифов, падению акций и оттоку клиентов. На этом они теряют в среднем 180 тысяч долларов за один киберинцидент. А на обучение сотрудников информационной безопасности постфактум уходит 140 тысяч долларов.

Малым и средним компаниям инцидент может обойтись в 15 тысяч долларов. Небольшие организации тоже вкладываются в экстренное обновление ПО и оборудование и страдают от испорченной репутации. При этом они меньше тратят на обучение персонала, поэтому вынуждены привлекать специалистов извне и терять прибыль из-за упущенных бизнес-возможностей.

Как оградить инфраструктуру от кибератак:

  • задайте сильные пароли для административных учетных записей;
  • используйте разные аккаунты для разных систем;
  • своевременно обновляйте ПО до последних версий;
  • ограничьте сетевой доступ ко всем контрольным интерфейсам, включая веб-интерфейсы;
  • разрешите доступ только с ограниченного числа IP-адресов;
  • если вы абсолютно уверены, что вам необходим удаленный доступ, используйте VPN;
  • тщательно продумайте правила сетевой фильтрации, создания паролей и своевременного закрытия уязвимостей в веб-приложениях;
  • регулярно проводите анализ защищенности всех веб-приложений в открытом доступе;
  • наладьте автоматизированный процесс мониторинга уязвимостей и распространения исправлений;
  • проверяйте приложения после каждого изменения кода или перенастройки веб-сервера;
  • своевременно обновляйте все сторонние компоненты и библиотеки;
  • регулярно проверяйте, не используются ли в ваших системах учетные данные по умолчанию (не забывайте о веб-приложениях, системах управления контентом и сетевых устройствах);
  • используйте специальные решения для обнаружения и блокировки попыток фишинга — к примеру, защиту, способную выявлять вредоносную активность приложений;
  • регулярно устанавливайте обновления ОС, прикладного ПО и средств защиты на системы, работающие в технологической сети предприятия;
  • повышайте уровень осведомленности сотрудников в вопросах кибербезопасности — в этом могут помочь игровые тренинги для корпоративной среды.

Виды кибератак

Мы заметили, что среди киберпреступников растет интерес к универсальным вредоносным программам, которые можно модифицировать под неограниченное количество задач. За первую половину 2018 года доля бэкдоров — зловредов, которые дают возможность удаленного контроля зараженного устройства, — сильно выросла по сравнению с другими категориями вредоносных программ. Ботнет на базе многофункциональных зловредов можно быстро перенастроить в зависимости от задачи — будь то рассылка спама, организация DDoS-атак или распространение банковских троянцев.

Важно помнить, что USB-устройства по-прежнему используются злоумышленниками для атак с целью распространения вредоносного ПО. Несмотря на то что USB-устройства заработали репутацию небезопасных носителей информации, они остаются популярным инструментом в бизнесе и становятся все более привлекательными для киберпреступников. Например, в первой половине 2018 года 8 % киберугроз, нацеленных на промышленные системы управления, были распространены именно посредством съемных носителей.

Как только данные пользователей оказываются в облачном хранилище, они тут же перестают принадлежать хозяевам

Еще один вид атаки — рассылка фишинговых писем с вредоносными вложениями. По нашим данным, с их помощью были атакованы по меньшей мере 400 промышленных компаний на территории СНГ. Обычно жертвы получают по электронной почте письма, якобы связанные с оплатой услуг, проведением платежей, сверкой документов и другими финансовыми вопросами. При этом киберпреступники обращаются к каждому сотруднику по фамилии, имени и отчеству, формируют индивидуальные письма и учитывают специфику атакуемых организаций. Далее киберпреступники находят и изучают документы о проводимых закупках и ПО для осуществления бухгалтерских операций. Злоумышленники подменяют реквизиты платежных поручений, и средства уходят сторонним получателям.

Например, одна из выявленных «Лабораторией Касперского» рассылок маскировалась под приглашение на серию экологических семинаров от имени Министерства энергетики Республики Казахстан. Программа мероприятий была написана на русском языке и включала в себя вопросы применения местного законодательства, что указывает именно на региональную нацеленность атаки.

Также киберпреступники нередко проводят атаки, используя уязвимости роутеров. Значительной атакой в 2018 году была атака на уязвимости известных роутеров, работающих именно в Казахстане. Получение доступа к такому устройству позволяет не только заразить устройство, но и перенаправить пользователей на вредоносные сайты.

И, наконец, распространен такой вид интернет-мошенничества, как фишинг. Это поддельные банковские сайты, платежные системы, популярные во всем мире почтовые и другие сервисы. Подобным атакам подвергаются не только коммерческие или государственные организации. За последний год мы зафиксировали фишинговые атаки на 131 университет в 16 странах мира. Причем личный кабинет на сайте университета может предоставлять доступ как к информации общего характера, так и к различным платным сервисам, результатам исследований. А с помощью аккаунта преподавателя злоумышленники способны получить сведения о зарплате сотрудника, его расписании и так далее.

Кто и как следит за пользователями

Уже через несколько лет мы придем к тому, что локальное хранение информации если не исчезнет как явление, то станет уделом лишь особо осторожных людей. Однако стоит помнить: как только данные пользователей оказываются в облачном хранилище, они тут же перестают принадлежать только хозяевам. С этого момента четко определенными правами на них обладает в том числе и тот, кто владеет этим хранилищем.

Люди доверяют смартфонам все важные вещи и рассчитывают на них практически в любой ситуации. К сожалению, этим активно пользуются киберпреступники. При этом пользователи по-прежнему уделяют мало внимания защите своих мобильных устройств: больше половины владельцев гаджетов не ставят пароли на свои смартфоны, то есть не используют даже самые базовые защитные механизмы.

Сейчас существуют фитнес-браслеты, клипсы, а также тысячи программ, которые могут отслеживать передвижения и сон, диету и менструальные циклы, симптомы и график приема лекарств. Их объединяет одна и та же любопытная особенность — все они умеют отсылать данные об активности человека куда-то в Сеть.

Стоит начать с того, что 26 % бесплатных и 40 % платных приложений вообще не предполагают наличия хоть какой-нибудь политики конфиденциальности. По данным «Лаборатории Касперского», 20 приложений из списка протестированных отправляют данные посторонним компаниям, большинство из которых занимаются рекламой и аналитикой. Среди отправляемых сведений были пол и имя пользователя, идентификаторы устройства, адрес электронной почты, информация о физических занятиях и питании, почтовый индекс и местоположение, а также поисковые запросы о симптомах, которые позволяют отслеживать пользователя и в других приложениях.

Для этого злоумышленники маскируют опасные файлы под безобидные: например, под псевдокартинку, при открытии которой компьютер оказывался зараженным

Как защититься от киберугроз

 Проверьте настройки конфиденциальности в социальных сетях, измените их в случае необходимости. Все мы храним в соцсетях немало личной информации. Если вы используете настройки по умолчанию, то значительную часть этих данных может видеть буквально любой человек;

 Не используйте общедоступные хранилища для личных данных. Например, Google Документы — не лучшее место для хранения файла с паролями, а сканы паспорта не надо выкладывать на Dropbox (разве что предварительно упаковав их в зашифрованный архив);

 Защитите себя от веб-слежки. Когда вы заходите на сайт, ваш браузер сообщает ему много всего интересного о вас и о том, какие веб-ресурсы вы посещаете. Режим инкогнито от такого отслеживания на самом деле не защищает;

 Не сообщайте свою основную электронную почту и номер телефона всем подряд. Даже если приходится оставлять контактные данные интернет-сервисам и онлайн-магазинам, не стоит давать их случайным людям в социальных сетях. Еще лучше создать отдельный «мусорный» почтовый ящик, адресом которого можно будет спокойно делиться;

 Защитите телефон и компьютер паролями или кодами доступа. Пароль для разблокировки компьютера не обязательно должен быть очень сложным. А вот смартфоны теряются, их также воруют, поэтому лучше использовать ПИН-код из шести цифр. Сканер отпечатка пальца и распознавание лица — тоже неплохо;

 Соблюдайте осторожность в общедоступных сетях Wi-Fi. Публичные сети Wi-Fi обычно не шифруют трафик. А это значит, что кто угодно может посмотреть, что вы отправляете и получаете, подключившись к той же точке доступа. Старайтесь не передавать через общественные сети конфиденциальные сведения: логины, пароли, данные кредитных карт и тому подобное. Лучше всего использовать VPN (безопасное соединение), чтобы зашифровать передачу данных и защитить их от посторонних глаз.

О безопасности мессенджеров и сообщениях от Илона Маска

Можно выделить шесть признаков безопасного мессенджера. Первый — вне зависимости от того, происходит разговор вживую или онлайн, он должен быть конфиденциальным. Разговор не должен услышать никто, кроме вас и вашего собеседника. Второй признак — аутентичность: вы должны быть уверены, что говорите именно с желаемым собеседником, а не с кем-либо другим. В этом легко убедиться в реальной жизни, но при онлайн-общении все гораздо сложнее. Кроме того, при общении в мессенджере вам необходимо быть уверенными в том, что никто не изменил ваше сообщение. Таким образом, целостность также критически важна.

Другие две характеристики безопасных мессенджеров: поддержка прямой секретности и будущей секретности. Прямая секретность не позволяет стороннему лицу узнать, о чем вы говорили до его появления, а будущая секретность — о чем вы говорили после его ухода. И последняя черта безопасного мессенджера — возможность отрицать сказанное.

Вообще, для многих из нас мессенджеры уже стали основным средством общения. Некоторое время назад мы исследовали Android-троян Skygofree, который шпионит за Facebook Messenger, Skype, Viber и WhatsApp. А совсем недавно обнаружили нового многофункционального зловреда, который в основном атакует стационарные компьютеры и распространяется через Telegram. Одна из главных задач создателей троянов — убедить пользователя собственноручно запустить вредоносный файл. Для этого злоумышленники маскируют опасные файлы под безобидные: например, под псевдокартинку, при открытии которой компьютер оказывался зараженным.

Их объединяет одна и та же любопытная особенность — все они умеют отсылать данные об активности человека куда-то в Сеть

Как не поймать зловреда:

Не скачивайте и не открывайте файлы из небезопасных источников. Если незнакомый пользователь прислал картинку, не стоит сразу ее открывать;

Увидев системное предупреждение, задумайтесь, соответствует ли описание файла тому, что вы собирались открыть;

Установите надежное защитное решение, которое поможет поймать мимикрирующего под картинку зловреда еще на этапе скачивания или попытки установки.

Распространение фишинга вышло за рамки почтовых рассылок. Одна из самых крупных атак подобного характера была зафиксирована в мессенджерах, где пользователи, сами того не осознавая, пересылали мошеннические сообщения своим друзьям.

Для вирусного распространения своего контента мошенники все чаще используют WhatsApp. В основном в их сообщениях речь идет о несуществующих розыгрышах или выгодных предложениях, когда для получения бонуса пользователю нужно пройти простой опрос и отправить сообщение указанному количеству контактов в мессенджере.

Простой пересылкой сообщения дело не заканчивается. Так, если пользователь заходит со смартфона, то его чаще всего автоматически подписывают на платные услуги. Или же он может быть перенаправлен на страницу с опросом или лотереей, с помощью которых злоумышленники собирают персональные данные жертв. Еще один вариант развития событий: пользователю предлагается установить расширение для браузера, которое впоследствии будет перехватывать все вводимые им данные.

В популярной соцсети Twitter используется другая мошенническая схема: там злоумышленники создают поддельные аккаунты известных лиц и компаний и от их имени сообщают о якобы бесплатной раздаче криптомонет. Для получения награды нужно перевести на указанный в сообщении адрес немного криптовалюты, а в ответ обещают сумму, преумноженную в несколько раз. Киберпреступники чаще всего прикрывались именами Илона Маска, Павла Дурова и Виталика Бутерина.

Пользователю предлагается установить расширение для браузера, которое впоследствии будет перехватывать все вводимые им данные

Известны случаи, когда с ребенком выходит на связь приятный и доброжелательный «менеджер модельного агентства», и, кстати, совсем необязательно, что это мужчина, в этом бизнесе бывают и женщины

Что ищут дети в интернете и как их защитить

Как показывает статистика «Лаборатории Касперского», больше всего в интернете детей привлекают социальные сети, а самыми популярными сайтами у них являются YouTube и Facebook. Однако летом дети отдают предпочтение видео и музыке в большей степени, чем общению в социальных сетях, также интересуются онлайн-покупками и чаще заходят на новостные порталы. Кстати, на ресурсы, связанные с алкоголем, табаком, наркотиками и порнографией, дети практически перестали заходить с компьютеров.

Всеобщая обеспокоенность темой приватности в интернете не обошла стороной и детей, которые искали приватный поисковик DuckDuckgo и пытались выяснить, что такое VPN. Также, судя по статистике групп в социальных сетях, они достаточно сильно подвержены азарту и желанию что-то выиграть или получить бесплатно. А паблики, тема которых имеет отношение к экстремизму, наркотикам и абортам, их практически не интересуют.

К сожалению, в интернете все чаще происходят случаи контактов злоумышленников с детьми и подростками с целью последующего знакомства в реальной жизни. Известны случаи, когда с ребенком выходит на связь приятный и доброжелательный «менеджер модельного агентства», и, кстати, совсем необязательно, что это мужчина, в этом бизнесе бывают и женщины.

Например, девочка 12 лет сообщала в социальную службу о том, что она отправляла женщине, представившейся сотрудником модельного агентства, фотографии других девочек в нижнем белье, а та платила ей валютой социальной сети. Мать другой девочки обратилась на линию помощи с историей о том, что ее дочь с подружкой позировали обнаженными по скайпу для женщины, также утверждавшей, что она является представителем модельного агентства. В результате злоумышленница стала шантажировать девочек этими снимками, чтобы заставить их продолжать сниматься.

Такие фото- и видеоматериалы могут стать частью «личной коллекции» педофила, но гораздо чаще они оказываются на ресурсах, распространяющих детскую порнографию. Борьба с такими сайтами ведется давно и активно, и найти их в открытом доступе сейчас очень сложно. Тем не менее это не означает, что они исчезли. Детская порнография остается одним из направлений криминального бизнеса и, очевидно, приносит производителям контента немалые деньги.

Одна из приоритетных задач родителей — воспитание ребенка в цифровом обществе и создания для него безопасной среды (в частности, посредством решений, позволяющих блокировать нежелательные сайты и приложения), ограждать ребенка от неприемлемого контента, быть в курсе публикаций детей на их страницах в социальных сетях и изменений в списке их друзей, а также узнавать их местоположение в режиме реального времени.